bungaflow
Sådan fungerer detPriserIntegrationer
Log indKom i gang

Hændelsesplan

Sidst opdateret: 25. marts 2026

1. Formål og omfang

Denne plan beskriver, hvordan Bungaflow (drevet af Redor AS) opdager, håndterer og genopretter efter sikkerhedshændelser og databrud.

Planen gælder for alle systemer, data og personale involveret i driften af Bungaflow-platformen.

2. Definitioner

  • Sikkerhedshændelse: Enhver begivenhed, der kompromitterer fortroligheden, integriteten eller tilgængeligheden af Bungaflow-platformen eller dens data.
  • Databrud (personoplysninger): Et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger (GDPR art. 4(12)).
  • Alvorlighedsniveauer: S1 Kritisk, S2 Alvorlig, S3 Mindre (som defineret i vores SLA).

3. Detektion og rapportering

  • Automatisk overvågning: Fejlsporing (Sentry), oppetidsovervågning, CI/CD-sikkerhedsscanning (Gitleaks, Dependabot).
  • Logning: Aktivitetslogfiler for alle dataændringer i applikationen.
  • Intern rapportering: Teammedlemmer rapporterer mistænkte hændelser øjeblikkeligt til hændelsesansvarlig.
  • Ekstern rapportering: Brugere kan rapportere sikkerhedsproblemer til security@bungaflow.com.
  • Ansvarlig afsløring: Vi byder sikkerhedsforskere, der rapporterer sårbarheder på en ansvarlig måde, velkommen.

4. Hændelsesklassificering

NiveauKonsekvensEksempler
S1 KritiskDatabrud med eksponering af personoplysninger, fuldstændigt tjenesteafbrydelse, aktiv udnyttelseDatabaselæk, kompromitterede loginoplysninger, ransomware
S2 AlvorligDelvis tjenesteforringelse, potentiel dataeksponering, sårbarhed med høj risikoAutentificeringsomgåelse, injektionssårbarhed, delvis afbrydelse
S3 MindreBegrænset konsekvens, ingen dataeksponering, lavrisiko-sårbarhedInformationslækage (ikke personlig), mindre fejlkonfiguration

5. Responsprocedurer

Fase 1: Identifikation (0–1 time)

  • Bekræft, at hændelsen er reel (ikke falsk positiv)
  • Klassificér alvorlighedsniveau
  • Udpeg hændelsesansvarlig
  • Påbegynd dokumentation i hændelseslog

Fase 2: Inddæmning (1–4 timer for S1/S2)

  • Kortsigtet: Isolér berørte systemer (tilbagekald adgang, bloker IP-adresser, deaktivér funktioner)
  • Bevar beviser (logfiler, øjebliksbilleder)
  • Vurdér omfang (hvilke data/brugere er berørt)

Fase 3: Eliminering (4–24 timer for S1/S2)

  • Fjern årsagen (ret sårbarhed, rotér loginoplysninger, opdater afhængigheder)
  • Verificér rettelse med sikkerhedsgennemgang
  • Deploy via CI/CD-pipeline med automatiserede kontroller

Fase 4: Genopretning (24–48 timer for S1/S2)

  • Genopret normal drift
  • Overvåg for gentagelse
  • Verificér dataintegritet

Fase 5: Evaluering efter hændelse (inden for 5 hverdage)

  • Rodårsagsanalyse
  • Tidslinje over hændelser
  • Hvad fungerede godt, hvad kan forbedres
  • Handlingspunkter og forebyggende foranstaltninger
  • Opdater denne plan om nødvendigt

6. GDPR-meddelelse ved brud

I overensstemmelse med GDPR artikel 33 og 34:

Til tilsynsmyndighed (Datatilsynet)

Inden for 72 timer efter, at vi er blevet opmærksomme på bruddet, medmindre det er usandsynligt, at bruddet medfører risiko for enkeltpersoner. Anmeldelsen inkluderer: bruddets art, kategorier og omtrentligt antal registrerede, kontaktoplysninger, sandsynlige konsekvenser og trufne foranstaltninger.

Til berørte registrerede

Uden unødig forsinkelse, når bruddet sandsynligvis vil medføre høj risiko for deres rettigheder og friheder. Klar og enkel kommunikation, der beskriver: bruddets art, kontaktoplysninger, sandsynlige konsekvenser, trufne foranstaltninger og anbefalede handlinger.

Til dataansvarlige

Hvis Bungaflow behandler data på vegne af en dataansvarlig (se vores databehandleraftale), underrettes den dataansvarlige inden for 48 timer.

7. Kommunikation

  • Internt: Hændelsesansvarlig koordinerer al intern kommunikation.
  • Berørte kunder: Direkte e-mailbesked for S1/S2-hændelser, der påvirker deres data.
  • Offentligt: Statusside opdateres for tjenestepåvirkende hændelser.
  • Medier: Alle mediehenvendelser rettes til contact@bungaflow.com.
  • Ingen offentliggørelse af tekniske detaljer, der kan muliggøre yderligere udnyttelse.

8. Sikkerhedsforanstaltninger på plads (forebyggende)

  • Kryptering: TLS under overførsel, AES-256-GCM for følsomme felter i hvile.
  • Autentificering: Supabase Auth med OAuth og magiske links (ingen gemte adgangskoder).
  • Autorisation: Rollebaseret adgangskontrol (Admin/Lite) med serversidebekræftelse.
  • Headere: HSTS, X-Frame-Options, Content-Security-Policy.
  • CI/CD: Automatisk linting, typekontrol, byggebekræftelse og hemmelighedsscanning (Gitleaks) ved hver kodeændring.
  • Afhængigheder: Automatisk sårbarhedsscanning via Dependabot.
  • Dataminimering: Kun nødvendige data indsamles, kaskaderet sletning ved kontosletning.
  • Underleverandørvurdering: Alle underleverandører har databehandleraftale og sikkerhedscertificeringer (SOC 2 Type II, ISO 27001).

For fuldstændige detaljer, se vores privatlivspolitik.

9. Roller og ansvar

  • Hændelsesansvarlig: Koordinerer respons, træffer beslutninger om inddæmning, kommunikerer med interessenter.
  • Udviklingsteam: Implementerer tekniske rettelser, deployer opdateringer.
  • Databeskyttelse: Vurderer GDPR-implikationer, håndterer myndighedsanmeldelser.

Kontakt: security@bungaflow.com

10. Gennemgang og opdateringer

  • Denne plan gennemgås mindst årligt.
  • Opdateres efter hver S1/S2-hændelse baseret på læringer.
  • Alle teammedlemmer er bekendt med denne plan.